Die Automatisierung im Schienenverkehr schreitet voran. Moderne Züge erfassen ihre Umgebung über Kameras und weitere Sensorik, führen Selbsttests durch, kommunizieren mit Edge-Systemen entlang der Strecke und übertragen große Mengen an Aufzeichnungsdaten in Rechenzentren.

Aus sicherheitstechnischer Sicht entstehen dadurch hochkomplexe, verteilte Systeme mit folgenden Eigenschaften:

• Fahrzeuginterne Netzwerke mit industriellen und automotive Komponenten
• Sensorboxen zur Umfelderkennung
• Drahtlose Hochverfügbarkeitsverbindungen
• Edge-Processing in Streckennähe
• Zentrale Datenspeicherung im Rechenzentrum
• Teilweise physisch zugängliche Fahrzeuge im öffentlichen Raum

Ein Penetrationstest solcher Systeme unterscheidet sich deutlich von klassischen IT-Tests. Es handelt sich um eine Kombination aus IT-, OT- und Embedded-Security-Analyse.

Systemarchitektur automatisierter Züge

Automatisierte oder teilautomatisierte Züge bestehen typischerweise aus mehreren sicherheitskritischen Komponenten:

Im Fahrzeug selbst befinden sich Sensorboxen mit Kameras, Umfelderkennungssystemen und weiteren Messkomponenten. Diese sind häufig sowohl vorne als auch hinten im Zug verbaut, um bidirektionale Fahrten
abzudecken.

Die Sensorik erfasst:

• Umgebung des Gleisbereichs
• Zustand der Infrastruktur
• Objekte im Gefahrenbereich
• Bewegungen nahe Bahnsteigen

Die Daten werden im Fahrzeug über ein dediziertes Ethernet-Netzwerk verarbeitet. Häufig existieren zusätzlich serielle Schnittstellen für einzelne Komponenten. In vielen Architekturen ist dieses Netzwerk logisch oder physisch vom restlichen IT-Netz getrennt.

Für Trainings-, Analyse- oder Wartungszwecke werden die erfassten Daten regelmäßig an Edge-Systeme übertragen. Von dort erfolgt die Weiterleitung über dedizierte Glasfaserstrecken in zentrale Rechenzentren.

Drahtlose Backhaul-Verbindungen stellen dabei eine kritische Kommunikationsschicht dar.

Bedrohungsmodell

Das Bedrohungsmodell in solchen Projekten umfasst mehrere Ebenen:

1. Fahrzeuginterne Manipulation
2. Drahtlose Angriffe auf die Kommunikationsinfrastruktur
3. Kompromittierung der Edge-Systeme
4. Datenmanipulation während der Übertragung
5. Datenschutz- und Integritätsrisiken
6. Physischer Zugriff auf das Fahrzeug

Ein zentrales Merkmal: Fahrzeuge können zeitweise unbeaufsichtigt auf Gleisanlagen stehen und physisch zugänglich sein. Dadurch erweitert sich die Angriffsfläche erheblich.

Fahrzeuginterne Netzwerke und Embedded Security

Innerhalb des Zuges existiert häufig ein vollständig separiertes Ethernet-Netzwerk zur Anbindung der Sensorik.

Sicherheitsrelevante Fragestellungen sind unter anderem:

• Werden Default-Konfigurationen in Sensoren verwendet?
• Existieren hartkodierte Zugangsdaten?
• Sind serielle Schnittstellen zugänglich oder abgesichert?
• Können Firmware-Versionen manipuliert werden?
• Gibt es Debug- oder Maintenance-Interfaces?

Besonders kritisch sind Komponenten, deren Implementierung durch Drittanbieter erfolgt. Wenn Sicherheitskonfigurationen nicht transparent dokumentiert sind, entsteht ein erhöhtes Risiko durch Fehlannahmen oder ungehärtete Standardsettings.

Ein Penetrationstest analysiert hier sowohl Netzsegmentierung als auch die tatsächliche Durchsetzbarkeit der Isolation.

Drahtlose Kommunikation und Backhaul-Sicherheit

Die Übertragung der Fahrzeugdaten erfolgt häufig über drahtlose Hochverfügbarkeitsverbindungen.

Sicherheitsrelevante Aspekte umfassen:

• Erzwingung moderner Verschlüsselungsstandards
• Absicherung gegen Rogue Access Points
• Authentifizierungsmechanismen
• Schutz vor Downgrade-Angriffen
• Manipulation von Konfigurationsparametern

Insbesondere bei WiFi-basierten Lösungen im 6-GHz-Band muss geprüft werden, ob starke Authentifizierung erzwungen wird und ob sich unautorisierte Geräte einklinken können.

Auch Multi-Path-TCP-Verbindungen oder getunnelte SSH-Verbindungen müssen auf Integrität und korrekte Schlüsselverwaltung geprüft werden. Eine verschlüsselte Verbindung allein garantiert keine Sicherheit, wenn Schlüsselmanagement oder Host-Verifikation unzureichend umgesetzt sind.

Datentransfer und Integrität

Die aufgezeichneten Sensordaten werden regelmäßig übertragen. In typischen Szenarien entstehen innerhalb weniger Stunden große Datenmengen, die automatisiert in Edge-Systeme eingespeist und anschließend ins Rechenzentrum übertragen werden.

Kritische Prüfbereiche sind:

• Können Daten während der Übertragung manipuliert werden?
• Ist Replay von Daten möglich?
• Werden Hashes oder Signaturen verwendet?
• Ist eine Integritätsprüfung implementiert?
• Besteht die Möglichkeit zur Injection synthetischer Sensordaten

Gerade bei Systemen, die Umfelderkennung für Trainingszwecke nutzen, ist Datenintegrität essenziell. Manipulierte Trainingsdaten können langfristige Auswirkungen auf Entscheidungsmodelle haben.

Edge-Systeme und Rechteverwaltung

Edge-Systeme entlang der Strecke übernehmen häufig die Rolle eines Zwischenspeichers oder Vorverarbeitungsknotens.

Typische Fragestellungen im Pentest:

• Existieren administrative Zugänge ohne ausreichende Härtung?
• Werden Jump-Hosts korrekt abgesichert?
• Sind Rollen und Rechte sauber getrennt?
• Gibt es ausschließlich hochprivilegierte Konten?

Systeme ohne niedrig privilegierte Benutzerrollen bergen ein erhöhtes Risiko, da jeder Zugriff potenziell umfassende Rechte besitzt.

Auch die Anbindung an Storage-Systeme muss überprüft werden - insbesondere wenn diese über Client-Authentifizierungsmechanismen angebunden sind.

Physische Sicherheit

Ein häufig unterschätzter Faktor ist der physische Zugriff.

Wenn ein Zug ohne Videoüberwachung oder physische Sicherung auf einem Abstellgleis steht, müssen folgende Szenarien betrachtet werden:

• Anschluss eines eigenen Geräts an interne Ports
• Zugriff auf Sensorboxen
• Manipulation von Verkabelung
• Austausch von Komponenten
• Zugriff auf Wartungsschnittstellen

Physische Sicherheit ist in solchen Projekten kein theoretisches Randthema, sondern realer Bestandteil des Bedrohungsmodells.

Datenschutz und regulatorische Aspekte

Bei Umfelderkennungssystemen werden regelmäßig Kamerabilder erfasst, die Personen an Bahnsteigen oder im Gleisbereich zeigen können.

Nicht akzeptable Risiken in diesem Kontext sind insbesondere:

• Unkontrollierte Langzeitspeicherung
• Fehlende Zugriffsbeschränkung
• Unzureichende Anonymisierung
• Unklare Datenverarbeitungszwecke

Neben technischer Sicherheit muss daher auch die Einhaltung datenschutzrechtlicher Anforderungen geprüft werden.

Besonderheiten im Pentest automatisierter Zugsysteme

Ein solcher Pentest unterscheidet sich methodisch von klassischen IT-Tests:

• Kombination aus IT-, OT- und Embedded-Testing
• Analyse drahtloser Hochverfügbarkeitsnetze
• Bewertung von Integritätsmechanismen für Sensordaten
• Untersuchung physischer Angriffsvektoren
• Prüfung von Rechte- und Rollenkonzepten
• Validierung der Netzwerksegmentierung im Fahrzeug

Hinzu kommt, dass Teile der Architektur während der Projektphase möglicherweise noch angepasst werden. Daher müssen Scope-Definition und Risikobewertung eng abgestimmt werden.

Zentrale sicherheitstechnische Erkenntnis

Automatisierte Zugsysteme sind keine isolierten Fahrzeuge, sondern vernetzte, datenintensive Plattformen mit:

• Embedded-Systemen
• drahtlosen Kommunikationsstrecken
• Edge-Computing-Komponenten
• zentraler Datenhaltung
• physischer Exponierung im öffentlichen Raum

Die sicherheitskritischen Punkte liegen nicht nur in der Verschlüsselung oder im Transportkanal, sondern in der Gesamtkette aus:

Ein fundierter Penetrationstest muss diese gesamte Kette technisch analysieren und bewerten, ob Integrität, Vertraulichkeit und Verfügbarkeit der Systeme realistisch gewährleistet sind.

O post Penetration Testing von automatisierten Zugsystemen apareceu primeiro em act digital.

Der produktive Einsatz von Large Language Models (LLMs) in Unternehmen nimmt deutlich zu. Dabei reicht das Spektrum von öffentlich erreichbaren Chatbots auf Unternehmenswebsites bis hin zu internen Assistenzsystemen, die auf Wissensdatenbanken, Dokumentenablagen oder proprietäre Datenquellen zugreifen. Technisch betrachtet entstehen dadurch hybride Systeme, die klassische Softwarearchitekturen mit probabilistischen Sprachmodellen kombinieren.

Die Sicherheitsanalyse solcher Systeme unterscheidet sich grundlegend von traditionellen Penetrationstests. Der wesentliche Unterschied liegt im Charakter des Modells selbst: Ein LLM ist eine Blackbox. Der Weg vom Input zum Output ist nicht deterministisch nachvollziehbar. Das Modell berechnet Token-Wahrscheinlichkeiten auf Basis seines Trainings und des aktuellen Kontexts. Welche Teile eines Prompts stärker gewichtet werden, wie interne Sicherheitsinstruktionen priorisiert werden oder wie konkurrierende Anweisungen aufgelöst werden, ist nicht transparente einsehbar - insbesondere bei proprietären Cloud-Modellen.

Diese Intransparenz hat direkte sicherheitstechnische Konsequenzen. Während klassische Software auf klar definierte Kontrollflüsse, Bedingungen und reproduzierbare Logik setzt, reagiert ein LLM kontextsensitiv und statistisch. Zwei nahezu identische Eingaben können unterschiedliche Ausgaben erzeugen. Sicherheitsmechanismen, die rein auf textuelle Instruktionen im Prompt basieren, stellen daher keine robuste technische Isolation dar.

Vom Prompt zur Antwort: Technische Realität

In produktiven Umgebungen wird ein Benutzerinput selten isoliert an das Modell übergeben. Typischerweise entsteht ein zusammengesetzter Prompt, der aus Systemanweisungen, Entwicklerlogik, Benutzeranfrage und gegebenenfalls aus extern abgerufenen Kontextinformationen besteht. Für das Modell ist dies letztlich ein zusammenhängender Textblock. Es existiert keine echte, technisch erzwungene Trennung zwischen „Sicherheitsrichtlinie" und „Benutzereingabe".

Das Modell verarbeitet alles sequenziell als Text. Genau hier liegt der Kern vieler Angriffe.

Prompt Injection als strukturelles Problem

Prompt Injection ist kein klassischer Injection-Angriff im Sinne von SQL oder Command Injection, sondern eine Manipulation der textuellen Entscheidungsgrundlage des Modells. Da Sicherheitsregeln häufig ebenfalls als Text formuliert sind („Beantworte keine vertraulichen Fragen", „Gib keine internen Informationen preis"), kann ein Angreifer versuchen, diese Anweisungen durch neue Instruktionen zu relativieren oder zu überschreiben.

Das Modell besitzt keine inhärente Fähigkeit, zwischen legitimer Policy und schadhafter Anweisung eindeutig zu unterscheiden. Es bewertet Token-Wahrscheinlichkeiten. Wenn eine manipulierte Benutzeranweisung semantisch stark formuliert ist oder geschickt kontextualisiert wird, kann sie die ursprünglich gesetzten Sicherheitsinstruktionen überlagern.

Da der interne Entscheidungsprozess nicht transparent ist, erfolgt die Sicherheitsprüfung hier zwangsläufig adversarial: Man testet systematisch, wie sich konkurrierende Instruktionen auswirken und ob Schutzmechanismen tatsächlich robust sind oder nur scheinbar existieren.

Interne LLMs und das Risiko durch Dokumentenanalyse

Besonders relevant werden diese Fragestellungen bei internen LLM-Systemen, die mit Retrieval-Augmented Generation (RAG) arbeiten. In solchen Architekturen werden Unternehmensdokumente -- etwa PDFs, Office-Dateien, Wiki-Inhalte oder CRM-Daten -- automatisch analysiert, in Text umgewandelt, vektorisiert und in einer Datenbank indexiert.

Wird später eine Benutzeranfrage gestellt, sucht das System semantisch passende Dokumente und fügt deren Inhalte dem Prompt als Kontext hinzu. Das Modell generiert darauf basierend seine Antwort.

Technisch bedeutet das: Der Inhalt von PDF-Dateien wird vollständig extrahiert und dem Modell als Text zur Verfügung gestellt. Dabei gehen visuelle Trennungen, Formatierungen oder semantische Struktur oft verloren. Auch versteckte Textbereiche oder Metadaten können indexiert werden, sofern sie nicht explizit gefiltert werden.

Hier entsteht ein besonders kritisches Angriffsszenario. Wenn ein Angreifer in der Lage ist, manipulierte Inhalte in ein indexiertes Dokument einzubringen -- etwa in ein internes Wiki, ein freigegebenes PDF oder eine gemeinsam genutzte Dokumentenablage -- kann er schadhafte Instruktionen platzieren, die später vom LLM verarbeitet werden.

Da das Modell nicht zwischen „Benutzerprompt" und „Dokumentkontext" unterscheidet, kann eine im PDF platzierte Anweisung Teil der Entscheidungsgrundlage werden. Die eigentliche Angriffsoberfläche ist damit nicht mehr das Chat-Interface, sondern die Dokumentenbasis des Unternehmens.

Ein praxisnahes Szenario ergibt sich im Recruiting-Prozess: Bewerbungen werden häufig über öffentlich erreichbare Webformulare eingereicht. Lebenslauf (CV) und Cover Letter werden als PDF hochgeladen, automatisiert gespeichert und intern abgelegt. Greift die HR-Abteilung später über ein internes LLM-System auf diese Dokumente zu -- etwa zur Zusammenfassung von Profilen oder zum Vergleich von Kandidaten – werden die Inhalte dieser PDFs vom System ausgelesen und verarbeitet.

Platziert ein Angreifer nun gezielt schadhafte Instruktionen im Lebenslauf oder im Anschreiben, können diese über den Dokumenten-Index in das interne LLM gelangen. Der Angriffspfad verläuft damit von einer öffentlich erreichbaren Upload-Funktion über das Dokumentenmanagement bis in ein internes KI-System. Technisch handelt es sich um eine indirekte Injection, die nicht über das Interface des LLM erfolgt, sondern über einen vorgelagerten Geschäftsprozess.

Viele Organisationen berücksichtigen dieses Risiko nicht, da sie davon ausgehen, dass Dokumente lediglich als Informationsquelle dienen. Tatsächlich werden sie jedoch integraler Bestandteil des Prompts und damit potenzieller Angriffsvektor.

Zugriffskontrolle und Datenexfiltration

Ein weiteres strukturelles Problem interner LLM-Systeme liegt in der Zugriffskontrolle. Das Modell selbst kennt keine Berechtigungen. Es verarbeitet lediglich den Kontext, der ihm vom Backend übergeben wird.

Wenn das Retrieval-System Dokumente abruft, ohne eine saubere Dokument-Level-Access-Control durchzusetzen, kann es passieren, dass dem Modell Inhalte übergeben werden, die der anfragende Benutzer eigentlich nicht sehen dürfte. Das Modell wird diese Inhalte dann unter Umständen in seiner Antwort verwenden oder zumindest indirekt darauf referenzieren.

Angriffe erfolgen hier häufig iterativ. Durch geschicktes Nachfragen, Umformulierungen oder Kontextverschiebungen lassen sich Informationen schrittweise rekonstruieren. Selbst wenn keine vollständigen Dokumente ausgegeben werden, können Fragmente oder Zusammenfassungen sensible Inhalte preisgeben.

Das Kernproblem ist architektonisch: Sicherheitslogik darf nicht dem Modell überlassen werden, sondern muss vor der Kontextgenerierung technisch erzwungen werden.

Tool-Integration und aktive Systemeingriffe

Mit der Einführung von Function Calling oder Tool-Integrationen verschiebt sich das Risikoprofil weiter. Das Modell generiert nicht mehr nur Text, sondern strukturierte Aufrufe an Backend-Funktionen. Diese können Datenbankoperationen ausführen, Tickets erstellen oder externe APIs ansprechen.

Wenn solche Funktionsaufrufe nicht strikt validiert und serverseitig autorisiert werden, kann ein Angreifer über manipulierte Prompts indirekt Aktionen auslösen. Besonders kritisch wird es, wenn Backend-Service-Accounts über weitreichende Rechte verfügen und das Modell als Vermittler agiert.

In diesem Kontext wird deutlich: Ein LLM ist kein sicherheitsbewusster Akteur. Es folgt statistischen Mustern. Jede sicherheitsrelevante Entscheidung muss außerhalb des Modells technisch abgesichert sein.

Kontext- und Session-Isolation

Ein weiterer technischer Aspekt betrifft die Verwaltung von Konversationskontexten. Viele Systeme speichern Chat-Historien oder nutzen Caching-Mechanismen, um Antworten effizienter zu generieren.

Wenn Kontextdaten nicht sauber isoliert werden, kann es zu Vermischungen zwischen Nutzern oder Sitzungen kommen. In Multi-Tenant-Umgebungen. stellt dies ein erhebliches Risiko dar. Da das Modell selbst keine Mandantentrennung kennt, muss diese strikt im Backend durchgesetzt werden.

Grundlegende technische Erkenntnis

LLM-Systeme sind keine klassischen Softwarekomponenten mit klarer Entscheidungslogik, sondern probabilistische Textverarbeitungssysteme. Sie besitzen kein intrinsisches Sicherheitsverständnis und keine verlässliche Trennung zwischen Instruktion und Daten.

Sobald interne Dokumente automatisiert analysiert, indexiert und in Prompts integriert werden, erweitert sich die Angriffsfläche erheblich. Manipulierte PDF-Inhalte, indirekte Prompt Injection über Wissensdatenbanken und unzureichende Zugriffskontrollen gehören zu den realistischsten Risiken in produktiven Unternehmensumgebungen.

Die Sicherheitsbewertung solcher Systeme erfordert daher ein architektonisches Verständnis der gesamten Verarbeitungskette – vom Dokumenten-Parsing über Retrieval-Mechanismen bis hin zur Tool-Ausführung.

Der kritische Punkt liegt nicht allein im Modell, sondern in der Art und Weise, wie es mit Daten, Kontext und Systemfunktionen verbunden wird.

O post LLM Penetration Testing aus technischer Perspektive apareceu primeiro em act digital.

Since investing in complete cybersecurity solutions and training in-house staff on constantly evolving security matters is expensive and time-consuming, Managed Security Services (MSS) have become the most efficient and easier to implement solution for all types of companies.

Let’s understand what MSS really are, why they are beneficial for businesses and how they are expected to evolve in the future.

Understanding key concepts

Managed Security Services are security solutions provided by third-party providers that monitor and manage an organisation’s security system, infrastructure, network, and devices, protecting them from all sorts of cyber threats.

MSS represent a flexible approach to cybersecurity since businesses can choose to outsource specific services according to their security needs. Those services may be Managed SOC, Managed EDR, Managed NDR, Security Incident Response, Vulnerability Management, among other key solutions that complement each other. We’ll get into each one of them further ahead in this article.

Those who provide MSS are Managed Security Service Providers (MSSP), and usually operate 24/7 from their own Security Operation Center (SOC).

Types of Managed Security Services

Among the most popular MSS are:

• Managed SOCA complete security incident detection and response solution that provides 24/7 protection from all kinds of cyberattacks. It can be fully outsourced (SOC-as-a-Service) or serve as an expansion of an already existing SOC team.
• Managed EDRA cybersecurity service specialised in protecting endpoints / devices (laptops, desktops, smartphones, or servers) on a network from advanced and sophisticated cyber threats (creation of EDR rule, management of endpoint etc.).
• Managed NDRA security service based on network traffic analysis in real-time, which protects corporate networks from advanced cyberattacks, data breaches and lateral movements.
• Security Incident ResponseUsually provided by a Computer Security Incident Response Team (CSIRT) or a Computer Emergency Response Team (CERT), this service encompasses the processes and tools used by organisations to effectively handle and respond to cybersecurity breaches, threats, or attacks. 
• Vulnerability ManagementThe process of identifying, analysing, prioritising, remediating, and reporting on security vulnerabilities across corporate endpoints, networks and systems. Cyber threats can only have an impact when a vulnerability can be exploited, so this service is key for organisations looking to implement a preventive approach.

7 reasons why your business needs Managed Security Services

Two things are certain by now: (1) no company is safe from cyberattacks, no matter how big or small it is, and (2) improving cybersecurity posture without having to invest in an in-house team is possible thanks to Managed Security Services.

So, here are the top reasons why your organisation can only benefit from MSS:

1. Fight increasingly sophisticated threats
   According to the World Economic Forum’s Global Risks Report 2023, “malicious activity in cyberspace is growing, with more aggressive and sophisticated attacks taking advantage of more widespread exposure”. This is why cybercrime and cyber insecurity are now in the top 10 of the most severe risks over the next decade. There is probably no better reason than this to start strengthening your business’s defenses. With Managed Security Services, you get access to the best experts in the field and the latest technologies and tools to fight these emerging threats.
   
2. Get the most cost-effective solutions
   Global cybercrime costs are expected to hit $10.5 trillion by 2025 and $23 trillion by 2027, up from $8.4 trillion in 2022. One way to make sure your company does not take part in these statistics is to improve your cybersecurity posture now, integrating the security services that best fit your needs. Financially speaking, it is easier and more effective to outsource a specialised team of experts already carrying the knowledge and tools to deal with such threats, than to hire and continuously train an in-house team.
   
3. Enjoy a 360º security coverage
   Since there is a wide range of Managed Security Services available, with different scopes and objectives (targeting network security, endpoint security, cloud security, application security, and so on), companies can significantly reduce their exposure surface, ensure better infrastructure and data protection, and focus on core business activities while MSSP take care of all security aspects. Plus, each security service in itself involves a 360º approach comprising the following phases: monitor, detect, investigate, threat hunt, and respond.
   
4. Achieve better reputation and trustworthiness
   Put yourself in clients’ shoes: when choosing a new partner or service provider, would you rather go with an organisation prepared to protect their clients’ data, or with a competitor with no security measures in place? No need to say that a data breach can have a massive financial and reputational impact, given the effort needed to recover from it – according to IBM’s Cost of a Data Breach Report 2023, it takes an average of 277 days for security teams to identify and contain a data breach. Having one of these on your record will not only impact the trust of potential clients, but also that of potential employees.
   
5. Focus on core business operations
   Managed Security Services will give you the necessary peace of mind and take the burden off your shoulders when it comes to implementing a robust and complete security strategy. Then, by not having to worry about any cybersecurity-related issue, you and your employees can concentrate on main business objectives.
   
6. Comply with major regulations
   While cyberattacks grow in number and complexity, so do cybersecurity regulations that aim to contain these threats. It is challenging for companies to constantly keep up with the requirements of data protection regulations like the General Data Protection Regulation (GDPR) or the NIS 2 Directive, so an MSSP can provide that compliance support continuously.
   
7. Stay ahead of emerging trends
   The Managed Security Services market will continue to rise in the upcoming years: it is currently (in 2024) worth $34.61 billion and is expected to reach $61.64 billion by 2029, at a compound annual growth rate of 12,24%. The flexibility and extensiveness provided by MSS means that this is the future of fighting cybercrime for small, medium and large businesses.

How will Managed Security Services evolve?

Just like any other technology field out there, MSS are increasingly embracing Artificial Intelligence (AI) and Machine Learning (ML) to automate processes, improve efficiency, productivity and speed. AI and ML tools can specifically help with:

• Advanced threat detection.
• In-depth investigation of anomalous situations.
• Rapid and automated incident response.
• Proactive threat hunting and mitigation.
• Continuously learning about new and emerging threats.

All these capabilities are being enhanced as we speak, which means AI will keep playing a critical role in the SOCs of the future, helping security teams improve their own detection, investigation, and response skills.

Another trend to keep an eye on is cloud-based security services. With organisations increasingly turning to cloud (and multi-cloud) strategies to host their infrastructure, Managed Security Service Providers will have to keep up and focus on providing cloud-based security solutions.

When it comes to the type of business looking to invest in a Managed Security Service, we will likely see an increase in demand from small and medium-sized companies, in the upcoming years. This has to do with the overwhelming increase in the number and sophistication of cyber threats, all over the world, leaving no company safe.

act digital is prepared to help navigate these future trends and challenges with a multidisciplinary cybersecurity team integrated into worldwide expert communities. Our consultants are certified and we work with a wide range of technologies and platforms, which we adapt to every client’s security needs.

O post 7 reasons why companies need Managed Security Services apareceu primeiro em act digital.

Mythos Nr. 1:
Ransomware ist eine neue Bedrohung

Nicht korrekt! Ransomware ist keine neue Bedrohung. Der erste bekannte Ransomware-Angriff fand im Jahr 2005 statt. Seitdem hat sich die Bedrohung jedoch weiterentwickelt und ist jetzt viel komplexer und gefährlicher.

Mythos Nr. 2:
Ransomware-Angriffe sind selten

Nicht korrekt! Ransomware-Angriffe haben in den letzten Jahren stark zugenommen. Laut einer Studie von Symantec gab es 2017 mehr als 40.000 Ransomware-Angriffe pro Tag – ein Anstieg von 300 % im Vergleich zum Vorjahr.

Mythos Nr. 3:
Ransomware sind gezielte Angriffe

Nicht korrekt! Es gibt zwar gezielte Ransomware-Angriffe, bei denen es die Angreifer auf hochwertige Ziele abgesehen haben, wie große Unternehmen, kritische Infrastrukturen oder Regierungsorganisationen. Dabei kommen fortschrittlichere Techniken zum Einsatz, die eine umfassende Aufklärung erfordern, um die Zielsysteme zu infiltrieren.

Ransomware wird jedoch in der Regel nicht gezielt eingesetzt, sondern an möglichst viele potenzielle Opfer verteilt. Laut einer Studie von Symantec ist die Wahrscheinlichkeit, Opfer eines erfolgreichen Ransomware-Angriffs zu werden, bei kleinen und mittleren Unternehmen (KMU) sogar um 60 % höher.

Mythos Nr. 4:
Nur Windows-Computer können von Ransomware betroffen sein

Stimmt nicht! Obwohl die meisten Ransomware-Angriffe tatsächlich Windows-Computer betreffen, sind auch andere Betriebssysteme wie macOS und Linux nicht immun gegen diese Bedrohung. Ransomware ist für viele Unternehmen ein großes Problem.

Aber was ist Ransomware eigentlich und wie können Sie sich effektiv schützen?

Viele Mitarbeiter sind sich nicht bewusst, was Ransomware ist und welche gefährlichen Folgen sie haben kann. Bei Ransomware handelt es sich um eine Art von Malware, die einen Computer oder Server blockiert, Dateien verschlüsselt und dann Unternehmen auffordert, ein Lösegeld zu zahlen, um auf ihre Daten zugreifen zu können. In den meisten Fällen ist es unmöglich, Dateien ohne Zahlung wiederherzustellen. Um sich vor dieser Art von Bedrohung zu schützen, sollten sich Unternehmen und Mitarbeiter über die verschiedenen Arten von Ransomware informieren und wissen, wie sie sich vor ihnen schützen können.

Im Allgemeinen werden zwei Arten von Ransomware unterschieden: solche, die Systeme infizieren, indem sie versehentlich bösartige Software ausführen, und solche, die eine bekannte Schwachstelle in Diensten ausnutzen, die im Internet zugänglich sind. Locky gehört zu den am weitesten verbreiteten Formen von Ransomware, die sich in der Regel über betrügerische E-Mails verbreitet, die als Rechnungen oder andere Anhänge getarnt sind. Wenn der Benutzer auf den Link oder Anhang klickt, lädt die Malware Dateien herunter und verschlüsselt sie. Leider gibt es keine bekannte Möglichkeit, diese Dateien wiederherzustellen, ohne ein Lösegeld zu zahlen. Cryptolocker, CryptoWall und Cerber gehören ebenfalls zu den bekanntesten Ransomwares.

Um sich vor einer Ransomware zu schützen, sollten Mitarbeiter immer vorsichtig sein, welche E-Mails sie öffnen und auf welche Links sie klicken. Seien Sie besonders vorsichtig bei E-Mails von unbekannten Absendern oder solchen, die einen Anhang enthalten. Wenn Sie sich nicht sicher sind, ob eine E-Mail echt ist oder nicht, sollten Sie den Absender telefonisch oder per E-Mail kontaktieren, bevor Sie auf den Link oder Anhang klicken. Außerdem sollten Benutzer immer eine Sicherungskopie ihrer wichtigsten Dateien erstellen und diese an einem sicheren Ort außerhalb ihres Computers aufbewahren. Selbst wenn Ihr Computer infiziert ist, haben Sie so immer noch Zugriff auf Ihre Dateien.

Verhaltensregeln für den Fall eines Ransomware-Angriffs

Wenn Mitarbeiter den Verdacht haben, dass ihr Computer mit Ransomware infiziert ist, sollten sie Folgendes tun:

1. Schalten Sie Ihren Computer aus. Dadurch wird verhindert, dass die Ransomware fortfährt und versucht, Ihre Daten zu verschlüsseln.
2. Benachrichtigen Sie Ihren Netzwerkadministrator oder einen IT-Experten. Dieser kann prüfen, ob Ihr Netzwerk oder Ihr Computer betroffen ist und welche Schritte zur Beseitigung der Malware erforderlich sind.
3. Löschen Sie alle ungenutzten oder unnötigen Dateien von Ihrem Computer. Diese könnten mit Ransomware infiziert sein und die Malware weiterverbreiten.
4. Installieren Sie ein Antivirenprogramm auf Ihrem Computer und halten Sie es auf dem neuesten Stand. Dies hilft, zukünftige Angriffe zu verhindern und vorhandene Malware zu entfernen.
5. Bleiben Sie informiert. Ransomware-Angriffe werden immer häufiger und komplexer. Halten Sie sich über die neuesten Bedrohungen auf dem Laufenden, damit Sie Ihren Computer angemessen schützen können.

Ransomware ist ein ernstes Problem für Unternehmen. Die Bedrohung durch Ransomware ist real und Unternehmen müssen sich darauf vorbereiten. Der beste Schutz vor Ransomware besteht in einer Kombination aus technischen Maßnahmen und Mitarbeiterschulungen. Unternehmen sollten ihre Systeme regelmäßig überprüfen und Sicherheitsupdates installieren. Die Mitarbeiter sollten regelmäßig über Sicherheitsrisiken und -maßnahmen informiert werden.

O post Top 4 Mythen über Ransomware und wie Sie sich schützen apareceu primeiro em act digital.

Dieser Prozess bietet mehrere Vorteile gegenüber herkömmlichen einzelnen Uploads: 

• Ausfallsicherheit: Mehrteilige Uploads sind robuster, da sie die Wahrscheinlichkeit von Upload-Fehlern verringern. Wenn ein Teil nicht hochgeladen werden kann, müssen wir nur diesen bestimmten Teil erneut hochladen, anstatt die gesamte Datei erneut hochzuladen.
• Leistung: Mehrteilige Uploads ermöglichen die Parallelisierung der Datenübertragung, wodurch die Upload-Geschwindigkeit insgesamt verbessert wird, insbesondere bei großen Dateien.
• Unterbrechen und Fortsetzen: Wir können mehrteilige Uploads unterbrechen und fortsetzen, was bei instabilen Netzwerkverbindungen oder wenn der Upload längere Zeit in Anspruch nimmt, hilfreich ist.
• Optimierte Speichernutzung: Mehrteilige Uploads ermöglichen das unabhängige Hochladen von Teilen, wodurch der auf der Client-Seite für die Verarbeitung großer Dateien erforderliche Speicherplatz reduziert wird.
• Objekt-Streaming: Ermöglicht das Streaming von Daten direkt von der Quelle zu S3, ohne dass das gesamte Objekt im Speicher abgelegt werden muss.

Um einen mehrteiligen Upload zu starten, müssen wir eine neue mehrteilige Upload-Anfrage mit der S3-API erstellen und dann einzelne Teile des Objekts in separaten API-Aufrufen hochladen, die jeweils durch eine eindeutige Teilenummer identifiziert werden.

Sobald alle Teile hochgeladen sind, ist der mehrteilige Upload abgeschlossen und S3 fügt die Teile zum endgültigen Objekt zusammen. Außerdem können Sie einen mehrteiligen Upload jederzeit abbrechen, um hochgeladene Teile zu bereinigen und Speicherkosten zu sparen.

Mehrteilige Uploads werden häufig verwendet, wenn es sich um Dateien handelt, die in der Regel größer als 100 MB sind, oder wenn während des Upload-Vorgangs instabile Netzwerkbedingungen zu erwarten sind.

In diesem Artikel sollen die Vorteile von AWS S3-Multipart-Uploads, detailliert und praktisch veranschaulicht werden, indem eine Implementierung mit Dropzone.js und dem Python-Framework Flask zusammen mit dem AWS S3 boto3 Python SDK bereitgestellt wird.

Die Serverseite

Aus Sicherheitsgründen werden die Anfragen an S3 über eine Flask-REST-API weitergeleitet. Beginnen wir mit der Erstellung und Einrichtung der Flask-App:

Als Nächstes erstellen wir drei Flask-Endpunkte für die folgenden Funktionen: 

• Starten des S3-Multipart-Uploads und Abrufen der entsprechenden Upload-ID.
• Hochladen der Dateiteile oder ganzer Dateien, wenn diese nicht groß genug sind, um in Chunks aufgeteilt zu werden.
• Vervollständigen des mehrteiligen Uploads.

Initiate Multipart Upload Endpoint

Die unten aufgeführte Endpunktimplementierung startet einen mehrteiligen Upload in den angegebenen S3-Bucket und Objektschlüssel unter Verwendung des Boto3 SDK. 

Die Funktion „create_multipart_upload“ wird aufgerufen, um einen neuen mehrteiligen Upload zu erstellen, und die von der API zurückgegebene „UploadId“ ist in der Antwort enthalten.

Upload File Endpoint

Dieser Endpunkt empfängt eine Datei oder einen Dateiteil als Binärdaten zusammen mit dem S3-Objektschlüssel, der Upload-ID (erhalten von der „create_multipart_upload“-Methode), der Teilenummer (eindeutige Nummer für jeden Teil, beginnend bei 1) und einem Flag, das angibt, ob es sich bei dem Upload um einen Dateiteil oder eine ganze Datei handelt.

Der Teil wird mit der Methode „upload_part“ in S3 hochgeladen. Unten finden Sie den Quellcode für diesen Endpunkt:

Abschluss des mehrteiligen Uploads

Sobald alle Dateiteile erfolgreich hochgeladen wurden, wird dieser Endpunkt aufgerufen, um den mehrteiligen Upload abzuschließen. Zunächst müssen wir jedoch einen laufenden mehrteiligen Upload und alle erforderlichen Informationen zu den bisher hochgeladenen Teilen haben, wie z. B. den ETag (ein MD5-Hash, der die Daten des Teils darstellt) und die Teilenummern. 

Um diese Daten über die Teile zu erhalten, die bereits für einen bestimmten mehrteiligen Upload hochgeladen wurden, rufen wir die Methode „list_parts“ auf, die eine Liste von Wörterbüchern abruft, die jeweils ein hochgeladenes Teil darstellen und Details wie Teilenummer und ETag enthalten. 

Sobald wir alle Teileinformationen haben, wird die Methode „complete_multipart_upload“ aufgerufen, damit S3 alle Teile zum endgültigen Objekt zusammenfügt und in unserem Bucket zur Verfügung stellt.

Nachfolgend finden Sie eine Implementierung des Endpunkts:

Die Front-End-Seite

Zur Implementierung der Web-Front-End-Seite verwenden wir Dropzone.js, eine weit verbreitete Open-Source-JavaScript-Bibliothek, die eine elegante und flexible Möglichkeit bietet, Datei-Uploads mit Drag-and-Drop-Funktionalität zu implementieren. Sie vereinfacht den Prozess der Handhabung von Datei-Uploads durch die Bereitstellung einer sofort einsatzbereiten benutzerfreundlichen Oberfläche und übernimmt verschiedene Aufgaben im Zusammenhang mit Uploads, wie z. B. die Validierung von Dateien, das Chunking großer Dateien und die Unterstützung für das Hochladen mehrerer Dateien.

Beginnen wir mit der Einrichtung von Dropzone.js, indem wir sie in die HTML-Datei einfügen. Wir können die Bibliothek entweder herunterladen und lokal darauf verweisen oder einen CDN-Link verwenden. Zusätzlich muss ein HTML-Element erstellt werden, das als Dropzone-Bereich dient, in dem Benutzer Dateien per Drag-and-Drop ablegen können:

Der nächste Schritt ist die Konfiguration von Dropzone.js:

Im obigen Codeausschnitt wird eine Konstante für die Chunk-Größe von Dropzone verwendet, um Dateien in 5-MiB-Teile oder Chunks aufzuteilen. Beachten Sie, dass die Größe in Mebibytes und nicht in Megabytes angegeben wird. Ein Mebibyte ist etwas größer als ein Megabyte und 5 MiB ist die Mindestgröße, die von AWS S3-Mehrfach-Uploads unterstützt wird. Dropzone teilt alle Dateien in Chunks auf, die gleich oder größer als der Wert „chunkSize“ sind. 

Um Datei-Uploads zu beschleunigen, ist die Parallelisierung von Teil-Uploads aktiviert. Und um unsere mehrteiligen Uploads widerstandsfähiger zu machen, wurden Wiederholungsversuche für die Teil-Uploads aktiviert, die möglicherweise fehlschlagen.

Die automatische Verarbeitung von Dateien in der Warteschlange wurde deaktiviert, da wir sicherstellen müssen, dass alle Dateien in der Warteschlange ihre AWS S3-Multipart-Upload-ID erhalten, bevor Dropzone mit der Verarbeitung der Dateien in der Warteschlange beginnt. Andernfalls besteht das Risiko, dass der Upload einiger Dateiteile aufgrund einer fehlenden Upload-ID fehlschlägt. Diese IDs werden in der Karte „uploadIdsMap“ gespeichert.

Hinweis: Achten Sie darauf, die Initialisierung von Dropzone aufzuschieben, bis die Seite geladen ist. Dies kann z. B. mit einem sofort aufgerufenen Funktionsausdruck erreicht werden. 

Da Dropzone bei jeder Upload-Anfrage benutzerdefinierte Parameter senden muss, z. B. die Multipart-Upload-ID und den S3-Schlüssel der hochzuladenden Datei, müssen wir die „params“-Option von Dropzone wie unten dargestellt überschreiben:

Um den S3-Objektschlüssel für die hochgeladene Datei zu erstellen, wird die folgende Funktion verwendet:

Schließlich müssen wir die folgenden Ereignisse von Dropzone verarbeiten:

• On file queued (addedFile): Für jede Datei in der Warteschlange wird eine AWS S3-Multipart-Upload-ID vom Proxy-Backend abgerufen, indem der Endpunkt „GET api/file/upload-id“ aufgerufen wird. Die Upload-ID der Datei wird in der „uploadIdsMap“ gespeichert, um später von Dropzone in jeder Datei-Chunk-Upload-Anfrage an unser Back-End gesendet zu werden. In diesem Event-Handler warten wir, bis alle Dateien in der Warteschlange hochgeladen sind;
• Bei erfolgreichem Datei-Upload (success): Wenn ein Chunk-Upload erfolgreich abgeschlossen wurde, müssen wir den Multipart-Upload durch Aufruf des entsprechenden REST-Endpunkts abschließen: „PUT /api/file/chunks/complete“;
• Nach Abschluss des Datei-Uploads (complete): Unabhängig davon, ob der Datei-Upload erfolgreich oder fehlerhaft abgeschlossen wurde, müssen wir prüfen, ob noch Dateien in der Warteschlange stehen. Wenn dies der Fall ist, müssen wir die Warteschlange explizit verarbeiten, damit der nächste Stapel von Dateien mit einer Größe, die der Option „parallelUploads“ entspricht, verarbeitet wird.

Nachfolgend finden Sie die Codeausschnitte, die die oben beschriebenen Ereignisbehandlungsroutinen von Dropzone implementieren, zusammen mit anderen Hilfsfunktionen, die in diesen Behandlungsroutinen verwendet werden.

Fazit

AWS S3 Multipart Uploads ist eine leistungsstarke Funktion, die die Leistung, Zuverlässigkeit und Flexibilität beim Hochladen großer Objekte in Amazon S3 verbessert. Durch die Aufteilung von Objekten in kleinere Teile können Entwickler parallele Uploads und Wiederaufnahmefunktionen nutzen, was zu schnelleren und zuverlässigeren Uploads führt.

Ob Sie an einer datenintensiven Anwendung, einem Multimedia-Speicher oder einem Content-Delivery-System arbeiten – das Verständnis und die Implementierung von Multipart Uploads kann Ihre S3-Datenverwaltungs-Workflowserheblich verbessern und sie zu einem unverzichtbaren Werkzeug im Arsenal der AWS-Cloud machen.

O post Mehrteiliger Upload mit Amazon S3 apareceu primeiro em act digital.

Lesen Sie jetzt, was genau Juice Jacking ist und wie Sie sich schützen können.

Was ist Juice Jacking und welche Gefahren bestehen?

Juice Jacking stellt einen zielgerichteten Cyberangriff auf ein mobiles Endgerät über dessen Stromzufuhr dar. Dazu wird die Verbindung zum USB-Port, der für das Aufladen des Geräts sowie Datenübertragung zuständig ist, ausgenutzt. Über diese Schnittstelle können Malware auf das Handy geladen werden.

Schließen Sie ein mobiles Endgerät über den USB-Port eines Computers an, wird nicht nur der Akku des Endgerätes aufgeladen, sondern können per Computer auf die Daten des Endgerätes zugegriffen und Daten ausgetauscht werden. Daher kann bei einer öffentlichen Ladestation nie ausgeschlossen werden, dass unberechtigte Dritte Zugriff auf die Daten des mobilen Gerätes erhalten und sensible Daten einsehen können und diese transformieren, andernorts speichern oder Malware übertragen.

Um auf die Gefahren des Juice Jacking aufmerksam zu machen und zu zeigen, wie schnell man Opfer eines solchen Cyberangriffs werden kann, wurden schon 2011 auf der DefCon öffentliche Ladestationen aufgestellt. Sobald man nun sein Mobiltelefon an diesen Ladestationen auflud, erschien auf dem Display die Nachricht, dass man öffentlichen Ladestation nicht trauen sollte.

Wie schützt man sich vor Juice Jacking?

Wägen sie vorher ab, ob es wirklich dringend notwendig ist, ihr Smartphone aufzuladen. Sind sie jedoch darauf angewiesen, nutzen Sie unterwegs eine Steckdose und möglich keinen fremden USB-Anschluss. Im besten Fall nutzen sie ihrer eigene Powerbank oder ein Charge Only Kabel, die einen Datentransfer nicht unterstützen. Außerdem sind Aufsätze (bekannt als SyncStop) erhältlich, die den Datentransfer unterbinden.

Bereits vorhandene Handyeinstellungen können je nach Anbieter einen Schutz bieten. Apples Betriebssystem iOS sperrt den Datenaustausch, wenn das iPhone gesperrt ist, gibt man allerdings seinen Code ein, wird die Sperre aufgehoben und Ihr Smartphone als „bekannt“ deklariert.

Verbindet man Android-Geräte mit einem Computer als Datenträger, wird man zuerst nach einer Bestätigung gefragt. Darüber hinaus existiert seit der Android-Version 4.2.2 eine Whitelist-Funktion, die Angriffe auf die ADB-Funktion verhindert.

Fazit

Unterschätzen Sie nicht die Gefahr des Juice Jackings, ein unscheinbarer USB-Port kann hinterhältig manipuliert werden, sodass ein Datendiebstahl mit einer einfach Verbindung möglich ist.

Seien Sie misstrauisch und nutzen Sie öffentliche Ladestationen nur, wenn Sie unbedingt müssen. Optimal sind eigene Powerbanks oder Charge Only Kabel beziehungsweise Aufsätze, die den Datentransfer unterbinden. Nutzen Sie auf jeden Fall Sicherheitsfeatures, die unerlaubten Datentransfer verhindern, Ihres Smartphones.

O post Juice Jacking – Die Gefahr aus dem USB-Port apareceu primeiro em act digital.

SAFe, ausgeschrieben Scaled Agile Framework for Lean Enterprises, stellt eine Möglichkeit dar, den von Jeff Sutherland und Ken Schwaber publizierten Scrum Guide auf große und komplexe IT-Projekte zu skalieren. Dass SAFe aktuell eine gewisse Relevanz im agilen Projektmanagement zugesprochen werden kann, zeigt eine Studie, wonach SAFe in über 70% der Fortune 100 US Unternehmen Anwendung findet. Dieser Blogartikel gewährt Einblicke in unsere Erfahrungen bei einer SAFe Implementierung und kann als Hilfestellung für andere Projekte genutzt werden.

Der Grundstein für den SAFe Erfahrungsbericht: Die Strukturen, die wir geschaffen haben.

Allgemein wurde zu Beginn des Projektes das gewünschte Ergebnis definiert – dieses wurde in einer Vision verankert, mit KPI messbar gemacht und mit klaren Handlungsthemen hinterlegt, die zu entwickeln waren.

Für das Herunterbrechen der Handlungsthemen hin zu detaillierten Produktinkrementen, die von den Scrum Teams entwickelt werden können, haben wir folgenden Ablauf für die Produktverfeinerung implementiert: Grundsätzlich wird ein Handlungsthema in ein sogenanntes Epic zusammengeschnürt und von einem Epic Owner verantwortet. Dieser erstellt einen Business Case für das Epic, auf dessen Grundlage die Genehmigung des Epics geprüft wird. Sofern das Epic genehmigt wird, wird dieses in Features heruntergebrochen.

Ein Feature ist groß genug geschnitten, um alleinstehend einen Nutzen darstellen zu können, jedoch klein genug, um innerhalb eines definierten Zeitraumes implementiert zu werden. Der maximale Implementierungszeitraum ist das Program Increment (PI), welches aus mehreren Iterationen (Iterationen werden im klassischen Scrum als Sprints bezeichnet) besteht. Bei der Dauer des PI haben wir uns an die von SAFe vorgeschlagenen 4 Entwicklungs-Iterationen sowie der darauffolgenden Innovations- und Planungs-Iteration gehalten. Definiert, priorisiert und verantwortet wird ein Feature vom Produktmanagement.

Da die agilen Teams iterationsweise arbeiten, ein Feature in der Regel jedoch nicht innerhalb einer Iteration fertiggestellt wird, lässt es sich in mehrere Userstories unterteilen. Per Definition bietet eine Userstory einen Teil der gewünschten Funktionalität und kann innerhalb einer Iteration entwickelt werden. Der Product Owner eines jeden Scrum Teams stellt sicher, dass diese ausreichend beschrieben sind und nimmt eine Priorisierung des Team-Product Backlogs vor.

Schlussendlich haben wir so eine Struktur geschaffen, in der jedes Scrum Team innerhalb des Projektes sein eigenes Team-Product Backlog erhält. Die Herausforderung hierbei ist, dass durch die vielen Team-Product Backlogs der Blick auf das „große Ganze“ nicht verloren geht. Anders als im klassischen Scrum, wo der Product Owner das Produkt ganzheitlich verantwortet, ist er innerhalb von SAFe lediglich für das jeweilige Team-Product Backlog verantwortlich.

Diese Rollendefinition hat dazu geführt, dass wir einen hohen Fokus auf die Zusammenarbeit von Product Ownern und dem Produktmanagement gelegt haben, die das teamübergreifende Product Backlog festlegen und priorisieren. Zudem bedeutet das Verteilen von Features auf die Team-Product Backlogs von mehreren Teams, dass Abhängigkeiten vor Entwicklungsbeginn bekannt und währenddessen kontinuierlich berücksichtigt werden müssen. Beispielsweise wurden von zwei Teams unterschiedliche Features entwickelt, die aus funktionaler Sicht nicht zusammenhängen, jedoch technisch starke Abhängigkeiten aufwiesen. Damit es beim Zusammenführen der Features nicht zu Chaos kam, war eine saubere Koordination essenziell. Daher haben wir, ergänzend zum SAFe Standard, mit dem Release Manager eine Rolle definiert, welche teamübergreifend die Releases koordiniert. Zunächst überprüft der Release Manager vorgegebene Kriterien, die für eine Codeübergabe von der Entwicklungs- in die nächsthöhere Systemumgebung erfüllt sein müssen. Während der Testphasen auf den unterschiedlichen Testumgebungen fungiert er zudem als Problemlöser für kurzfristig auftauchende Störungen, indem er eine Anpassung der Release Zeitfenster oder der Testressourcenverteilung vornehmen kann.

Welche Rolle spielt die Teamzusammensetzung für den Erfolg?

Die agilen Teams bestehen stets aus einem Product Owner, einem Scrum Master sowie dem Entwicklungsteam. Das Entwicklungsteam ist so aufgestellt, dass das Fachwissen aller für die Entwicklung benötigten Funktionen innerhalb des Teams verfügbar ist (cross-functional Team).

Innerhalb unseres Projektes ist pro benötigte Applikation mindestens ein Entwickler im Team, zudem noch ein Tester sowie ein Testautomatisierer. Auch wenn nicht per SAFe Definition vorgesehen, haben wir zudem noch einen Business Analyst an die Seite des Product Owners gestellt, welcher bei der Ausformulierung der Userstories unterstützt und dem Team für Rückfragen hinsichtlich funktionalen Produktanforderungen zur Verfügung steht.

Die richtige Zusammensetzung der Teams ist erfolgskritisch. Daher war es uns wichtig, abhängig vom Team, den benötigten Erfahrungsschatz pro Funktion zu bewerten und danach die Teams zusammenzustellen. Der Erfahrungsschatz bezieht sich hier auf das technische Wissen, dem funktionalen Verständnis des Produktes (-inkrements) sowie der Methodenkompetenz. Andernfalls könnte es zu Überforderung einzelner Teammitglieder kommen und das Team kann zugesicherte Entwicklungen nicht realisieren. Dies wiederum würde dazu führen, dass andere Teams aufgrund von Abhängigkeiten zu diesem Team ebenfalls ihre Zusagen nicht liefern können – oder aber ein Entwickler aus einem anderen Team hilft bei Engpässen mit aus, wodurch jedoch die Leistungsfähigkeit des anderen Teams reduziert wird.

Die Kommunikation in SAFe

Ähnlich wie im klassischen Scrum Guide legt auch SAFe einen starken Fokus auf die Zusammenarbeit und Kommunikation innerhalb des agilen Teams. Zum einen hat jedes der agilen Teams die gewohnten Zeremonien, bestehend aus Planungs-, Review- und Retro-Meeting sowie dem Daily. Zum anderen haben sich weitere Interaktionen als hilfreich erwiesen: Exemplarisch wäre hier die 3-Amigo-Session zu nennen, in der sich Product Owner, Entwickler und Tester zusammensetzen, um Rückfragen zu klären, Fortschritte vorzustellen sowie verbleibende Aufgaben abzustimmen. Gamification ist ein schöner Motivator, um dies zu fördern.

So haben wir den 3-Amigo-Award ins Leben gerufen, der ein besonderes Engagement eines Teammitgliedes auszeichnet. Ein anderes Beispiel ist das Review-Preparation-Meeting, eine Art Generalprobe des Review-Meetings. Speziell am Anfang haben wir sehr gute Erfahrungen mit diesem Meeting gemacht. Auf der einen Seite können „Agile-Neulinge“ innerhalb des Teams sich selbst ausprobieren und den Ablauf üben. Auf der anderen Seite sorgt dies natürlich auch für einen professionellen Auftritt in dem tatsächlichen Review-Meeting gegenüber den Stakeholdern. Neben der Interaktion innerhalb des Teams spielt die teamübergreifende Kommunikation eine bedeutende Rolle.

Grundsätzlich bilden mehrere agile Teams einen Agilen Release Train (ART). Innerhalb eines ART arbeiten alle agilen Teams synchron, sie starten und beenden die Produktentwicklung gleichzeitig. Zudem haben wir Expertenrunden etabliert, in denen die Fachexperten der einzelnen Teams regelmäßig zusammenkommen. So gibt es das Scrum of Scrum (SoS) für den Austausch zwischen den Scrum Mastern, Product Owner-Runden, aber auch Communities of Practice (CoP) für die einzelnen Funktionen. Diese werden für Updates genutzt, um sich gegenseitig zu schulen oder aber auch für die Diskussion und Festlegung von teamübergreifenden Standards.

Besonders hinsichtlich Kommunikation, Dokumentation und Qualität war es uns wichtig, einheitliche Standards festzulegen. So ist es zum Beispiel ratsam, ein gemeinsames Verständnis zu haben, welche Kriterien erfüllt sein müssen, damit mit der Entwicklung eines Produktinkrements gestartet werden kann (Definition of Ready). Ebenso wichtig sind Kriterien, die eine erfolgreiche Entwicklung überprüfen (Definition of Done). Diese Prüfstellen helfen, ein einheitliches Qualitätsverständnis sicherzustellen.

Eine oft geführte Diskussion war, ob die agilen Teams örtlich zusammensitzen sollten oder nicht. Dies lässt sich vermutlich nicht pauschal mit ja oder nein beantworten, da beides seine Vor- und Nachteile mit sich bringt – ein örtliches Beisammensein erleichtert Abstimmungen, den Aufbau einer Teamkultur und die Durchführung der Scrum Zeremonien. Auf der anderen Seite sind An- bzw. Abreise kosten- und zeitintensiv. Hinzu kommen allgemeine Themen wie Räumlichkeiten mit ausreichend Platz und professioneller Büroausstattung für all die Teams.

Insgesamt lässt sich jedoch festhalten, dass gerade zu Beginn der SAFe Implementierung die genannten Vorteile überwogen haben.

Fazit

Zusammenfassend lässt sich sagen, dass wir mit SAFe eine Methodik genutzt haben, um Größe und Komplexität des Projektes durch strukturierte Abläufe und Rollendefinition besser steuern zu können. Allerdings versteht sich SAFe als Rahmenwerk, wodurch im Detail Fragen aufgekommen sind, die SAFe nicht beantwortet.

Für zukünftige Implementierungen empfiehlt es sich daher, ausreichend Zeit einzuplanen, um gerade diese Detailfragen mit den fachlichen sowie technischen Experten des Unternehmens beantworten zu können. Zudem ist grundsächlich immer die Unterscheidung zwischen Methodik und Kultur zu berücksichtigen.

Eine Implementierung der SAFe Methodik stellt noch keine agile Transformation dar. Hiervon kann erst gesprochen werden, wenn auch die Arbeitskultur aller Projektbeteiligten agil wird. Wie auch im klassischen Scrum Guide ist dies sicher die größte Herausforderung.

O post Skalierte, agile Projekte nach SAFe: Unsere Erfahrungen apareceu primeiro em act digital.

Globales Zentrum für Talente

Portugiesische Universitäten sind international für die hohe Qualität ihrer Lehrprogramme, sowohl im Bereich der Ingenieurwissenschaften als auch im Management, anerkannt. Darüber hinaus gehört das Land zur europäischen Top 10 im Bereich der Englischkenntnisse und befindet sich somit vor anderen Ländern wie Rumänien oder der Tschechischen Republik, die auch beliebte Standorte für das IT Outsourcing sind. Auch in Französisch und Spanisch gehört Portugal zur europäischen Spitze. Nicht zuletzt ist Portugal aufgrund seiner erschwinglichen Lebenshaltungskosten, des hervorragenden Wetters und des hervorragenden Essens seit langem ein beliebtes Ziel für Expats. Das bedeutet, dass das Land die Heimat vielfältiger Talente aus der ganzen Welt ist, die Unternehmen für ihre Teams nutzen können.

Hervorragendes Preis-Leistungs-Verhältnis

Die Verringerung der nicht zum Kerngeschäft gehörenden Unternehmenstätigkeiten ist einer der Hauptvorteile des IT Outsourcings, daher ist dies natürlich einer der Hauptaspekte, die Sie bei der Wahl Ihres Partners berücksichtigen sollten.

Das durchschnittliche Jahresgehalt für einen Softwareentwickler in Portugal liegt bei etwa 22.000€ – das sind 2,1 weniger als in Schweden, 2,45 weniger als in Deutschland und 2,82 weniger als in Norwegen. Das bedeutet, dass Sie bei der Entwicklung Ihres Produkts Kosten sparen können, ohne Kompromisse bei der Qualität eingehen zu müssen!

Der Standort

Portugal teilt sich die Zeitzone mit dem Vereinigten Königreich (einem wichtigen globalen Wirtschaftszentrum) und liegt nur eine Stunde hinter den meisten Ländern Mitteleuropas. Daher können Sie und Ihr Nearshore-Team mit einem großen Kommunikationsfenster arbeiten, ohne lange auf Antworten warten zu müssen.

Face-to-Face Meetings sind auch kein Problem! Portugal liegt geographisch nahe an den meisten Ländern Mitteleuropas – die durchschnittliche Flugzeit beträgt etwa 2,5 Stunden mit Hunderten von täglichen Flügen zu allen Geschäftszentren der Region, sowohl von Lissabon als auch von Porto aus. Bei act digital haben wir Büros an beiden Standorten, nur 20 Minuten von jedem Flughafen entfernt. Sie sind herzlich willkommen, wann immer Sie möchten!

Ein gastfreundliches Land

Portugal teilt die kulturellen Werte der meisten europäischen Ländern, was die Beziehungen zwischen den Teams erleichtern kann. Darüber hinaus sind die Portugiesen als freundliche, gesellige, fleißige und leicht anpassungsfähige Menschen bekannt. Da die Kommunikation ein Schlüsselfaktor für den Erfolg bei der Leitung von Remote-Teams ist, haben Sie mit uns einen entscheidenden Wettbewerbsvorteil.

Hochmoderne IT-Infrastrukturen

Wenn es um Software-Entwicklung geht, ist die Gewährleistung einer qualitativ hochwertigen IKT-Infrastruktur bei der Bewertung potenzieller Nearshore-Standorte von wesentlicher Bedeutung. Laut dem Global Competitiveness Report 2019 liegt Portugal bei der Qualität der Infrastrukturen auf Platz 21 von 141 Ländern und bei der Einführung von IKT auf Platz 34. Das Land wurde im Digital Economy and Society Index Report 2020 der Europäischen Kommission für seine flächendeckende Bereitstellungvon ultraschnellen Breitbandanschlüssen gelobt und liegt an zweiter Stelle, knapp hinter Schweden.

Soziale und politische Stabilität

Portugal ist laut dem Globalen Friedensindex das siebtfriedlichste Land der Welt. Das Land hat in den letzten Jahrzehnten soziale und politische Stabilität erlebt und gilt als Symbol für die Erholung der EU. Als EU-Mitgliedstaat hält sich Portugal an europäische Standards und Vorschriften, zum Beispiel in Bezug auf Datenschutz und -sicherheit.

O post 6 Gründe, warum Portugal ideal für Ihre IT-Nearshore Projekte ist apareceu primeiro em act digital.

Bevor wir uns näher damit befassen, sollten wir uns daran erinnern, was genau Ransomware ist und warum sie heutzutage als eine der gefährlichsten Cyber-Bedrohungen gilt.

Was ist Ransomware und wer sind die Hauptziele?

Ransomware ist eine Art von Malware (Schadsoftware) die Daten sperrt, verschlüsselt und die Opfer zwingt, ein Lösegeld zu zahlen, um den Zugriff auf ihre Daten nicht zu verlieren.

Unternehmen, insbesondere Organisationen mit hohem Einkommen, sind und bleiben das Hauptaugenmerkvon Ransomware Angriffen. Zuletzt waren die am stärksten betroffenen Branchen das verarbeitende Gewerbe, der Dienstleistungssektor, der Einzelhandel, das Finanzwesen und das Gesundheitswesen..

Warum nehmen Ransomware Angriffe so stark zu?

Einer der Hauptgründe ist Künstliche Intelligenz (KI), denn sie hilft Cyberangreifern bei der Entwicklung von Malware, die schneller ist und sich an traditionelle Sicherheitspraktiken anpassen und diese umgehen kann.

laut Microsoft benötigen 98% der Ransomware weniger als 4 Stunden, um das System eines Unternehmens zu infiltrieren, und die bösartigste Variante schafft es sogar in nur 45 Minuten.

Zudem gibt es laut act digital's Cybersecurity-Experten Pankaj Dwivedi mehrere andere Gründe, die den exponentiellen Anstieg der Ransomware-Angriffe erklären könnten:

• Remote Arbeit"Unternehmen waren nicht ausreichend auf das zunehmende Remote Arbeiten vorbereitet. Sie haben Richtlinien für Remote erlassen, um eine Beeinträchtigung des Betriebs zu vermeiden, aber es gibt immer noch Schwachstellen, die angegangen werden müssen, wie z.B. Sicherheitsbewusstsein und Reaktionsmaßnahmen."
• Kryptowährungs-Zahlungsmethoden"Die Anonymität bei Zahlungen in Kryptowährung ist hoch, was es für die Strafverfolgungsbehörden schwierig macht, die Betreiber von Ransomware aufzuspüren.“
• Erhöhter Zugang zum Dark Web"Der Zugang zum Dark Web hat zugenommen und damit auch der Markt mit gestohlenen Daten, die für einen guten finanziellen Wert erhältlich sind.“
• Sophisticated techniques and tools“Advanced encryption, extortion and ransomware deployment techniques, as well as access to various automated hacking tools and exploit kits, allows less skilled people to launch ransomware attacks.”
• Schwachstellen- und Patch-Management"Das Versäumnis, Schwachstellen zu erkennen oder Patches anzuwenden, macht Unternehmen und ihre Infrastruktur angreifbar.“
• Technologie im Wandel"IoT-Geräte [Internet der Dinge] für den privaten oder geschäftlichen Gebrauch können als Einfallstor für Ransomware-Angriffe dienen. Sie sind häufig unzureichend gesichert.“
• Reduzierte IT-Sicherheitsbudgets"Begrenzte Budgets können zu schlechter Planung, unzureichendem Schutz, veralteter Infrastruktur und unzureichender Schulung und Management führen.“
• Fehlendes Sicherheitsbewusstsein"Die Sicherheit ist nur so gut wie ihr schwächstes Glied - der Mensch. Ein angemessenes Schulungs- und Sensibilisierungsprogramm macht die Mitarbeiter aufmerksam und gewappnet und verringert die Gefahr, Opfer von Phishing und Social Engineering zu werden."
• Begrentze Security Fachkräfte„Der Talentpool an Cybersecurity-Fachleuten ist eine große Lücke in der Branche, die die Chancen der Unternehmen auf eine robuste Verteidigung verringert.“

Wie können Unternehmen diese Angriffe verhindern?

Pankaj Dwivedi nennt einige vorbeugende Maßnahmen, um Schäden durch Ransomware zu vermeiden:

• Schulung und Sensibilisierung der Mitarbeiter
• Backup Plan"Es ermöglicht die Wiederherstellung einer Kopie der Daten und Systeme eines Unternehmens im Falle eines Vorfalls. Der empfohlene Ansatz ist, mehrere Backups an verschiedenen Orten zu haben."
• Incident Response Plan"Er hilft einem Unternehmen, Cybersecurity-Vorfälle zu erkennen und darauf zu reagieren. Dieser Plan umreißt die Schritte, die im Falle eines Ransomware-Angriffs zu unternehmen sind."
• Disaster Recovery Plan"Er konzentriert sich darauf, wie sich das Unternehmen nach einem Vorfall erholt und seine kritischen Geschäftsfunktionen wieder aufnimmt.“
• Stärkung der Sicherheitskontrolle"Unternehmen können vorbeugende Maßnahmen ergreifen durch Benutzerzugriffsmanagement, Schwachstellenmanagement, Netzwerksegmentierung, E-Mail-Sicherheitslösungen, Endpoint Schutz, Zero Trust-Architektur, Sicherheitsaudits, Risikomanagement, Verschlüsselung sensibler Daten, Überwachung und Threat Hunting.“

Wie reagiert man auf einen Ransomware Angriff?

Wenn das System eines Unternehmens mit Ransomware infiziert wird, sind die folgenden allgemeinen Schritte zu unternehmen:

• Isolieren Sie das infizierte System.
• Identifizieren Sie die Ransomware-Variante.
• Bewerten Sie den Schaden.
• Initiieren Sie den Plan zur Reaktion auf den Vorfall.
• Benachrichtigen Sie die betroffenen Parteien und kontaktieren Sie die Strafverfolgungsbehörden.
• Stellen Sie Daten aus Sicherungskopien wieder her.
• Kommunizieren Sie intern und extern.
• Durchführen einer Analyse nach dem Vorfall und einer Sicherheitsüberprüfung.
• Melden Sie Ansprüche bei Cyber-Versicherungen an.

Zahlen Sie nicht das Lösegeld

act digital's Experte rät Unternehmen davon ab, das Lösegeld zu zahlen, "aus ethischen Gründen, aber auch, weil es keine Garantie für die Wiederherstellung der Daten gibt.“

laut der aktuellen Studie von Claroty, “The Global State of Industrial Cybersecurity 2023”, haben von 75% der Befragten, die im Jahr 2023 von Ransomware-Angriffen betroffen waren, 69% das Lösegeld gezahlt und 54% von ihnen haben trotzdem einen finanziellen Schaden von 100.000 Dollar oder mehr erlitten.

Ransomware in der Zukunft

Experten sind sich einig, dass Cyberattacken im Allgemeinen und insbesondere Ransomware 2024 und darüber hinaus weiter zunehmen werden.

Seiner Meinung nach werden „unzureichende Cybersicherheitsvorschriften, unterschiedliche Zahlungsmethoden, die Entwicklung von KI und Automatisierung sowie anhaltende geopolitische und wirtschaftliche Spannungen in Zukunft zu einer weiteren Zunahme von Ransomware-Angriffen führen“. Bei diesem Tempo sagt Cybersecurity Ventures voraus, dass 2031 wird alle 2 Sekunden ein Ransomware Angriff stattfinden, der die Opfer jährlich rund 265 Milliarden Dollar kosten wird.

Aus diesem Grund bietet act digital Unternehmen, die ihre Sicherheit erhöhen und die zuvor empfohlenen Präventivmaßnahmen umsetzen möchten, wichtige Services wie Security Management und Security Testing an.

O post Ransomware auf dem Vormarsch: Sicherheit von Unternehmen verbessern apareceu primeiro em act digital.

• Der Artikel beschreibt die erforderlichen Maßnahmen, die KRITIS-Betreiber sowie sehr wichtige und wichtige Einrichtungen ergreifen müssen, um ihre IT-Systeme und Prozesse zu schützen.
• Diese Maßnahmen sollen Störungen vermeiden und die Auswirkungen von Sicherheitsvorfällen minimieren. Sie sollten auf europäischen und internationalen Normen basieren und verschiedene Themen wie beispielsweise Risikoanalyse, Sicherheit bei Entwicklung und Wartung, Zugriffskontrolle und Mitarbeitenden-Schulungen abdecken.
• Es wird erwartet, dass die genauen Maßnahmen noch festgelegt werden beziehungsweise vom aktuellen Gesetzesentwurf abweichen. Die EU-Kommission kann spezifische Anforderungen festlegen, die dann verbindlich sind.
• Betreiber von bestimmten Einrichtungen müssen bis 2024 verbindliche Maßnahmen umsetzen.
• Es gibt auch Meldepflichten für Sicherheitsvorfälle sowie Registrierungs- und Überprüfungsverfahren für Betreiber kritischer Anlagen.

Pflichten von Betreibern und Einrichtungen

Mit der Implementierung von NIS2 ändern sich die Anforderungen an Betreiber und Einrichtungen deutlich. Die bestehenden Pflichten im Bereich KRITIS gemäß dem BSI-Gesetz bleiben im Wesentlichen erhalten, werden jedoch teilweise präzisiert, verschärft und neu strukturiert.
Die Umsetzung des NIS2-Gesetzes wird sich in weiten Teilen der deutschen Wirtschaft bemerkbar machen, insbesondere bei den zahlreichen Einrichtungen. Dabei erstrecken sich die Maßnahmen und Verpflichtungen größtenteils auf das gesamte betroffene Unternehmen.

* impliziert, da angenommen wird, dass Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind.

Tabelle: eigene Zusammenstellung, basierend auf NIS2 Gesetzesentwurf

In diesem Artikel erklären wir Ihnen:

• Welche Maßnahmen NIS2 mit sich bringt
• Welche Nachweis- und Prüfpflichten erbracht werden müssen
• Welche Meldepflichten es zu beachten gilt

NIS2 Maßnahmen

Besonders wichtige Einrichtungen müssen angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT-Systeme und Prozesse ihrer angebotenen Dienstleistungen/Produkte zu schützen. Dadurch sollen Störungen vermieden und die Auswirkungen von Sicherheitsvorfällen minimiert werden. Betreiber sollten dabei Faktoren wie das Risikoexpositionsmaß, die Größe der Einrichtung, Implementierungskosten, Wahrscheinlichkeit des Eintretens von Sicherheitsvorfällen sowie deren Schweregrad berücksichtigen – ebenso wie gesellschaftliche und wirtschaftliche Auswirkungen.

Die Maßnahmen, die von Betreibern und Einrichtungen umgesetzt werden müssen, sollten auf einem ganzheitlichen Ansatz basieren und europäische sowie internationale Normen berücksichtigen. Diese Maßnahmen sollen zumindest die folgenden Themen abdecken:

• Risikoanalyse und Sicherheit für Informationssysteme
• Umgang mit Sicherheitsvorfällen
• Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisenmanagement
• Sicherheit der Lieferkette, Absicherung zwischen Einrichtungen sowie Dienstleister-Sicherheit
• Sicherheit bei Entwicklung, Beschaffung und Wartung
• Schwachstellenmanagement
• Bewertung der Wirksamkeit von Cybersicherheit und Risikomanagement
• Schulungen zu Cybersicherheit und Cyberhygiene
• Kryptografie und Verschlüsselung
• Personalsicherheit
• Zugriffskontrolle and Anlagenmanagement
• Multi-Faktor Authentisierung and kontinuierliche Authentisierung
• Sichere Kommunikation (Sprache-, Video-, Text)
• Sichere Notfallkommunikation

Eine genaue Festlegung der Maßnahmen durch die EU, das BSI oder Verbände ist noch nicht bekannt. Es wird erwartet, dass sich im Jahr 2024 in dieser Hinsicht noch einiges bewegen wird. Ebenso liegen bisher keine offiziellen Ableitungen zu bestehenden Cybersecurity-Standards wie ISO 27001 oder C5 vor, um die Maßnahmen in entsprechende Rahmenwerke einzufügen.

Aktuelle ISMS-Zertifizierungen werden wahrscheinlich nicht automatisch ausreichend für NIS2-Maßnahmen sein – der Anwendungsbereich von NIS2 könnte über bestehende Zertifikate hinausgehen, da einige der genannten Maßnahmen tiefer und weiter gehen als übliche Rahmenwerke.

Durchführungsmaßnahme der EU

Gemäß Artikel 21 (5) NIS2 kann die EU-Kommission in Durchführungsmaßnahmen konkretisierte technische und methodische Anforderungen festlegen, die dann unmittelbar verbindlich sind und Vorrang vor der oben genannten Liste haben. Sollten diese Rechtsakte nicht abschließend sein, hat das Bundesinnenministerium die Möglichkeit eigene Konkretisierungen zu erlassen.

Für Betreiber von DNS, TLD, Clouds, Rechenzentren, CDNs sowie Managed Services und Managed Security Services werden bis Oktober 2024 in einem separaten Durchführungsakt der EU-Kommission verbindliche Maßnahmen festgelegt. Dies gilt auch für Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdienste.

Nachweise und Prüfungen von NIS2

Es war ursprünglich geplant, dass mehr als 8.000 Betreiber kritischer Anlagen und Einrichtungen regelmäßig überprüft werden sollten, aber in neueren Entwürfen wurde dies auf die bisherigen KRITIS-Betreiber (über 2.000) reduziert. Die Betreiber kritischer Anlagen müssen dem BSI alle drei Jahre die Umsetzung der NIS2-Maßnahmen nachweisen. Ab 2027 und je nach eigener Registrierung sind dann alle drei Jahre Prüfungen erforderlich, ähnlich wie bei den bisherigen KRITIS-Nachweisprüfungen.

Tabelle: eigene Zusammenstellung, basierend auf NIS2 Gesetzesentwurf

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen dem BSI alle drei Jahre Nachweise und Maßnahmen zur Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen vorlegen, wie es bereits bei KRITIS-Prüfungen der Fall ist. Das BSI ist berechtigt, Betreiber kritischer Anlagen eigenständig zu überprüfen und kann Standards sowie Vorgaben für die Durchführung von Nachweis-Prüfungen festlegen.

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen sind nicht verpflichtet, dem BSI regelmäßig die Umsetzung der Maßnahmen und Meldepflichten nach der Registrierung zu belegen. Das BSI behält sich jedoch das Recht vor, Organisationen zur Durchführung von Audits, Prüfungen oder Zertifizierungen zu verpflichten, Nachweise anzufordern und selbst zu überprüfen. Bei der Auswahl der Organisationen wird das BSI risikoorientiert vorgehen und dabei das Ausmaß des Risikos, die Größe der Einrichtung sowie die Wahrscheinlichkeit und Schwere möglicher Sicherheitsvorfälle sowie deren gesellschaftliche und wirtschaftliche Auswirkungen berücksichtigen. Das BSI kann Anforderungen für diese Nachweis-Prüfungen festlegen.

Welches Meldewesen sieht NIS2 vor?

Meldung von Sicherheitsvorfällen

Mit NIS2 werden auf betroffene Einrichtungen viele Informations- und Meldepflichten übertragen, die über die bisherigen §8b BSIG-Meldepflichten (KRITIS) hinausgehen.
Es ist erforderlich, dass besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) und wichtige Einrichtungen Sicherheitsvorfälle dem BSI melden – innerhalb sehr kurzer Fristen (24 Stunden) und mit stufenweisen Folgemeldungen:

• Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, spätestens innerhalb von 24 Stunden
• Meldung eines erheblichen Sicherheitsvorfalls innerhalb von 72 Stunden mit Bewertung der Erstmeldung (Schweregrad, Auswirkungen, Kompromittierung)
• Zwischenmeldungen auf Anfrage des BSI
• Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung der Vorkommnisse, Ursachen, Maßnahmen sowie grenzüberschrittenen Auswirkungen
• Vertrauensdienste müssen sofort gemeldet werden bzw. spätestens innerhalb von 24 Stunden
• Betreiber kritischer Anlagen müssen zusätzlich Angaben zu den Anlagen selbst sowie kritischen Dienstleistungen und deren Auswirkungen machen

Das BSI richtet in Abstimmung mit dem BBK die Möglichkeit zur Meldung ein im Rahmen des KRITIS-Dachgesetzes. Darüber hinaus kann das BSI weitere Richtlinien zum Meldeverfahren festlegen.

Meldung an Kunden und Öffentlichkeit

Im Falle schwerwiegender Sicherheitsvorfälle kann das BSI Anweisungen an besonders wichtige und wichtige Einrichtungen geben, ihre Kunden (Empfänger ihrer Dienste) zu informieren. Einrichtungen aus den Bereichen Finanz- und Versicherungswesen, Informationstechnologie und Telekommunikation, IKT-Dienste sowie Digitale Dienste sind verpflichtet, potenziell betroffene Kunden unverzüglich über erhebliche Cyberbedrohungen zu informieren. Dabei sollen auch mögliche Gegenmaßnahmen mitgeteilt werden.

Nach Erhalt einer Meldung wird das BSI innerhalb von 24 Stunden versuchen, sich bei Unternehmen zurückzumelden – gegebenenfalls mit weiterführenden Fragen, Unterstützungsmöglichkeiten und Informationen. Sollte eine Sensibilisierung der Öffentlichkeit erforderlich sein oder im öffentlichen Interesse liegen, kann das BSI Betreiber dazu auffordern.

Registrierung und Kontaktstellen

Einrichtungen und Betreiber sind dazu verpflichtet, sich selbst zu identifizieren und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Es gelten spezielle Registrierungsregeln für bestimmte Unternehmen. Besonders wichtige Einrichtungen sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI anmelden. Dabei müssen Angaben wie Name, Rechtsform, Kontaktdaten (E-Mail/Telefon), IP-Adressbereiche, Sektor und Teilsektor sowie Geschäftsaktivitäten in EU-Staaten gemacht werden.

Betreiber kritischer Infrastrukturen müssen zusätzliche Informationen bei der Registrierung angeben. Die gemeinsame Registrierung mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemäß dem KRITIS-Gesetz ist noch nicht vollständig geklärt. Änderungen in den Daten müssen jährlich an das BSI gemeldet werden; alle anderen Informationen sollten unverzüglich innerhalb von zwei Wochen übermittelt werden. Das BSI behält sich das Recht vor, besonders wichtige Einrichtungen sowie DNS-Registries eigenständig zu registrieren. Hierfür kann es weitere Unterlagen anfordern und das Verfahren genauer definieren.

Bestimmte Einrichtungen haben bis zum 17. Januar 2025 Zeit, um sich beim BSI anzumelden. Dies betrifft Betreiber aus verschiedenen Bereichen wie DNS/TLD-Bereich, Cloud Computing-Anbieter, Rechenzentrenbetreiber, Content Delivery Networks (CDNs), Managed Service Provider (MSPs), Security Service Provider sowie Online-Marktplätze, Suchmaschinen oder soziale Netzwerke.

O post NIS2 in der Praxis – welche Maßnahmen verlangt die Richtlinie? apareceu primeiro em act digital.